Microsoft 365 Defender의 자동 조사 및 응답

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender

조직에서 Microsoft 365 Defender 사용하는 경우 보안 운영 팀은 악의적이거나 의심스러운 활동 또는 아티팩트가 검색될 때마다 Microsoft 365 Defender 포털 내에서 경고를 받습니다. 끊임없이 발생할 수 있는 위협의 흐름을 감안할 때 보안 팀은 대용량 경고를 해결하는 데 어려움을 겪는 경우가 많습니다. 다행히 Microsoft 365 Defender 보안 운영 팀이 위협을 보다 효율적이고 효과적으로 해결하는 데 도움이 될 수 있는 자동화된 AIR(조사 및 대응) 기능이 포함되어 있습니다.

이 문서에서는 AIR에 대한 개요를 제공하고 다음 단계 및 추가 리소스에 대한 링크를 포함합니다.

자동화된 조사 및 자가 복구의 작동 방식

보안 경고가 트리거되면 보안 운영 팀에서 해당 경고를 조사하고 조직을 보호하기 위한 조치를 취해야 합니다. 조사가 진행되는 동안 새 경고를 계속해서 받는 경우 경고 우선 순위를 설정하고 검사하는 것은 매우 시간이 오래 걸릴 수 있습니다. 보안 운영 팀은 모니터링하고 방어해야 하는 많은 위협 요소를 통해 압도될 수 있습니다. Microsoft 365 Defender 자동 복구와 함께 자동화된 조사 및 대응 기능이 도움이 될 수 있습니다.

다음 비디오를 시청하여 자기 치유의 작동 방식을 확인하세요.

Microsoft 365 Defender 자동 복구 기능을 사용한 자동 조사 및 응답은 디바이스, 전자 메일 & 콘텐츠 및 ID에서 작동합니다.

이 문서에서는 자동화된 조사 및 응답의 작동 방식을 설명합니다. 이러한 기능을 구성하려면 Microsoft 365 Defender 자동화된 조사 및 응답 기능 구성을 참조하세요.

사용자 고유의 가상 분석가

계층 1 또는 계층 2 보안 운영 팀에 가상 분석가가 있다고 상상해 보십시오. 가상 분석가가 보안 운영에서 위협을 조사하고 수정하는 데 취하는 이상적인 단계를 모방합니다. 가상 분석가는 무제한 용량으로 24x7로 작업할 수 있으며 상당한 양의 조사 및 위협 수정을 수행할 수 있습니다. 이러한 가상 분석가는 대응 시간을 크게 줄여 다른 중요한 위협 또는 전략적 프로젝트에 대한 보안 운영 팀을 확보할 수 있습니다. 이 시나리오가 공상 과학 소설처럼 들린다면 그렇지 않습니다! 이러한 가상 분석가는 Microsoft 365 Defender 제품군의 일부이며, 해당 이름은 자동화된 조사 및 응답 입니다.

자동화된 조사 및 대응 기능을 사용하면 보안 운영 팀이 보안 경고 및 인시던트에 대처할 수 있는 조직의 역량을 크게 늘릴 수 있습니다. 자동화된 조사 및 대응을 통해 조사 및 대응 활동을 처리하는 비용을 줄이고 위협 방지 제품군을 최대한 활용합니다. 자동화된 조사 및 대응 기능은 다음을 통해 보안 운영 팀에 도움이 됩니다.

  1. 위협에 조치가 필요한지 여부를 결정합니다.
  2. 필수 수정 조치를 취합니다(또는 권장합니다).
  3. 다른 조사를 수행해야 하는지 여부와 수행해야 할 작업을 결정합니다.
  4. 다른 경고에 대해 필요에 따라 프로세스를 반복합니다.

자동화된 조사 프로세스

경고는 자동화된 조사를 시작할 수 있는 인시던트를 만듭니다. 자동화된 조사를 통해 각 증거에 대한 판결이 내려지게 됩니다. 평결은 다음과 같습니다.

  • 악의적
  • 의심스러움
  • 위협이 발견되지 않음

악의적이거나 의심스러운 엔터티에 대한 수정 작업이 식별됩니다. 수정 작업의 예는 다음과 같습니다.

  • 격리할 파일 보내기
  • 프로세스 중지
  • 디바이스 격리
  • URL 차단
  • 기타 작업

자세한 내용은 Microsoft 365 Defender 수정 작업을 참조하세요.

조직에 대해 자동 조사 및 응답 기능을 구성하는 방법에 따라 수정 작업은 자동으로 또는 보안 운영 팀의 승인에 따라 수행됩니다. 보류 중이든 완료되었는지 여부에 관계없이 모든 작업이 작업 센터에 나열됩니다.

조사가 실행되는 동안 발생하는 모든 관련 경고는 완료될 때까지 조사에 추가됩니다. 영향을 받는 엔터티가 다른 곳에서 발견되면 자동화된 조사는 해당 엔터티를 포함하도록 범위를 확장하고 조사 프로세스를 반복합니다.

In Microsoft 365 Defender, each automated investigation correlates signals across Microsoft Defender for Identity, Microsoft Defender for Endpoint, and Microsoft Defender for Office 365, as summarized in the following table:

엔터티 위협 보호 서비스
디바이스(엔드포인트 또는 컴퓨터라고도 함) 엔드포인트용 Defender
온-프레미스 Active Directory 사용자, 엔터티 동작 및 활동 ID용 Defender
Email 콘텐츠(파일 및 URL을 포함할 수 있는 전자 메일 메시지) Office 365용 Defender

참고

모든 경고가 자동화된 조사를 트리거하는 것은 아니며, 모든 조사로 인해 자동화된 수정 작업이 발생하는 것은 아닙니다. 조직에 대해 자동화된 조사 및 응답을 구성하는 방법에 따라 달라집니다. 자동화된 조사 및 응답 기능 구성을 참조하세요.

조사 목록 보기

조사를 보려면 인시던트 페이지로 이동합니다. 인시던트를 선택한 다음 조사 탭 선택합니다. 자세한 내용은 자동화된 조사의 세부 정보 및 결과를 참조하세요.

자동 조사 & 응답 카드

새로운 자동 조사 & 응답 카드는 Microsoft 365 Defender 포털(https://security.microsoft.com)에서 사용할 수 있습니다. 이 새 카드는 사용 가능한 수정 작업의 총 수에 대한 가시성을 제공합니다. 또한 카드는 각 경고에 대한 모든 경고 및 필요한 승인 시간에 대한 개요를 제공합니다.

자동 조사 & 응답 카드를 보여 주는 스크린샷

자동 조사 & 응답 카드를 사용하여 보안 운영 팀은 알림 센터에서 승인 링크를 선택한 다음 적절한 작업을 수행하여 신속하게 알림 센터로 이동할 수 있습니다. 이 카드를 사용하면 보안 운영 팀이 승인 보류 중인 작업을 보다 효과적으로 관리할 수 있습니다.

보안 분석가를 위한 교육

Microsoft Learn의 이 학습 모듈을 사용하여 Microsoft 365 Defender 인시던트 조사 및 대응에 자동화된 자동 복구를 사용하는 방법을 이해합니다.

교육: Microsoft 365 Defender와 자동 self-healing
Microsoft 365 Defender 학습 아이콘을 사용하여 자동 복구를 자동화합니다. Microsoft 365 Defender AI를 사용하여 인시던트에 대한 수정을 자동화하여 보안 운영 팀이 위협을 보다 효율적이고 효과적으로 해결할 수 있도록 지원합니다.

11분 - 5단원

다음 단계